一种基于本源行为的工业设备内生安全监测方法

本发明属于工业互联网，具体涉及一种基于本源行为的工业设备内生安全监测方法。

背景技术：

1、新一代工业自动化和控制系统提供了先进的连接功能，使工业互联网时代的新的自动化应用、服务和商业模式成为可能。物联网作为一种新型的通信/控制平台，将任何事物/任何人都连接到互联网上，物联网中的连接节点的行为可以通过一个(组)服务器来监控或控制它们的运行。然而，设备之间的合作工作模式为用户带来了便利，但也带来了隐私泄露和设备安全的风险。在这种情况下，工业互联网智能设备之间进行了广泛的交互，这些交互控制着合法设备的状态转换，正常和异常传感器测量之间的严格阈值通常是不可定义的，攻击者可以利用这种模糊的决策边界注入恶意测量，因此工业设备集群的负载均衡以及判断工业设备是否存在风险在工业互联网设备安全性上变得越来越重要。

2、由于各级工业设备各类信息系统数量呈现出的爆炸式增长，对云平台的可用性和可靠性提出了更高的要求，故工业互联网云平台的构建是解决当下工业互联网设备集群体系所面临问题的有效手段。工业设备会根据周边环境、用户操作、其他设备交互等动作更替设备状态与重要信息，而实时监测设备的状态信息是保护工业设备免受恶意攻击和防止潜在崩溃的关键任务。

3、针对工业互联网设备监测方面，目前有一些解决技术方案：

4、发明一“一种在k8s容器集群上的服务集成方法、装置及电子设备”(申请号：cn202311008915.2)探讨了k8s容器集群上的服务集成，服务端接收服务开发端的资源文件进行编译与测试，并将编译后代码与待集成的原有代码打包成镜像部署，提高了在k8s容器集群上实现服务集成的效率。

5、发明二“一种基于物联网大数据的工业机器人故障预测方法及装置”(申请号：cn202311019024.7)公布了一种基于物联网大数据的工业机器人故障预测方法及装置。该方法将各待检测轴按照型号、任务或工况分为多个检测组，分别针对每个检测组建立用于故障预测的时间序列异常检测器，通过构建随机森林进行故障预测，能够提高预测的泛化能力，提高故障预测能力和准确性。

6、然而，上述发明技术存在的问题有以下几个方面：

7、(1)现有的多数工业设备交互通信服务都是基于服务端脚本代码控制，安全性难以得到保障。同时，工业设备任务执行在实际场景中往往具有复杂度高、距离长、时间长等特点，现有的工业设备任务规划方式几乎只能执行一些近距离简单性任务，而且一些特殊的实时危险监测任务需要利用人工智能的识别分析技术等，这些因为工业设备本身难以搭载高处理的cpu、gpu等，在现有的任务规划服务中也无法实现。

8、(2)现有技术在对物联网采集的时序数据执行分析时，依赖于预测模型实现对物联网异常检测，基于历史过程值生成未来传感器测量预测，然后与实际测量进行比较以生成残差进而可以检测异常。然而，由于工业过程中存在各种噪声源，正常和异常传感器测量之间的严格阈值通常是不可定义的，攻击者可以利用规则的模糊性进行攻击绕过，而倾向于捕获时间序列中的周期性特征导致模型易受随机波动的影响，并且由于复杂多维时间序列存在一定的不可预测性，导致其异常检测误报率偏高。

技术实现思路

1、为了克服上述现有技术存在的不足，本发明的目的在于提供一种基于本源行为的工业设备内生安全监测方法，通过搭建基于本源行为的工业互联网设备内生安全监测工业互联网服务平台，将工业设备集群协同工作任务借助基于docker容器的工业互联网服务平台进行部署，实现了对工业设备集群的实时工作状态监控，并利用机器学习和数据挖掘方法根据收集的工业设备工作数据捕捉工业系统数据日志中的不变规则并进行危险预警提示，避免了在工业互联网环境下工业设备因被恶意攻击带来的不良影响。

2、为了实现上述目的，本发明采用的技术方案是：

3、一种基于本源行为的工业设备内生安全监测方法，包括以下步骤；

4、步骤1：工业互联网服务平台与docker相结合，通过docker容器实现工业设备在工业互联网服务平台的实际模拟(克隆体)，实现工业互联网下的工业设备与工业互联网服务平台的docker容器一一对应(利用k8s架构搭建工业互联网服务平台，工业互联网服务平台部署的节点一一对应工业设备)；

5、步骤2：采集工业设备搭载的传感器和设备的工作数据，并实时传输到工业互联网服务平台实现对设备监测；

6、步骤3：利用数据分析手段对工业互联网服务平台中从工业设备实时获取的工作数据进行清洗处理后，选择cnn-lstm模型对工业设备进行危险监测。

7、所述步骤1具体包括以下步骤：

8、步骤1.1：准备若干个节点，用于运行数据库服务，在本数据库服务中，每一个工业设备对应于一个单独的节点；

9、步骤1.2：创建kubernetes的配置文件，定义所述节点的网络设置、镜像源、apiserver地址；初始化master节点，设置好master节点后，master点控制工业互联网服务平台所有节点，负责整个工业互联网下的工业设备群体(比如智能家居下空调、电灯、电视、温度传感器等设备群体)的管理和控制，使用kubeadm初始化集群master节点，创建控制平面组件并启动etcd、apiserver、controller manager、scheduler进程；

10、步骤1.3：选择和安装合适的网络插件，用于暴露工业互联网服务平台内docker容器的ip地址，基于apiserver通过容器的ip进行对容器的访问和通信，为运行在不同节点上的docker容器提供ip地址和网络隔离；配置ingress controller用于实现http/tcp/udp协议的访问控制；

11、步骤1.4：使用kubeadm命令将服务节点加入到k8s整体集群(k8s集群是由一组物理或虚拟机器组成的集合，这些机器被组织成一个单一的计算资源池，并在其上运行kubernetes平台。k8s集群通常包括一个主节点和多个工作节点，主节点通常负责集群的管理和控制，而工作节点则负责运行容器化应用程序。即工作节点就是对应的工业设备群体)中，并启动kubelet和kube-proxy服务，实现基于ip地址和端口进行对pod的请求转发，所述步骤1.3将容器的ip地址暴露出来，服务节点为一组pod提供相同的dns名，并在它们之间进行负载均衡。

12、所述步骤1.2中，etcd是kubernetes的存储状态的数据库，所有master的持续状态都存在etcd的一个实例中；

13、apiserver是资源操作的唯一入口，接收用户输入的命令，提供认证、授权、api注册，其他模块通过apiserver查询或修改数据，只有通过apiserver才直接和etcd进行交互；

14、controller manager为当于集群状态的协调者，观察着集群的实际状态，与etcd中的预期状态进行对比，如果不一致则对资源进行协调操作让实际状态和预期状态达到最终的一致，维护集群的状态，比如故障检测、自动扩展、滚动更新；

15、scheduler负责集群资源调度，通过api server的watch接口监听新建pod副本信息，按照预定的调度策略将pod调度到相应的node节点上。

16、所述步骤2具体包括如下步骤：

17、步骤2.1：根据需求在每个工业互联网服务平台工业设备节点中配置数据库并设计表数据，将工业设备节点与工业互联网服务平台数据库中每张表一一对应，工业互联网服务平台和工业设备之间通过socket连接，实现二者之间的信息实时交互；

18、步骤2.2：所获数据为工业设备工作状态和功能控制相关数据，以心跳包的形式每隔固定时间验证服务器的存在，将所获得的数据向工业互联网服务平台发送，并存储到工业互联网服务平台数据库中，达到对工业设备状态的实时监控。

19、所述步骤3具体包括以下步骤：

20、步骤3.1：对于工业设备状态、工作数据的有关工业设备工作保障的基础数据(比如电流或者温度等数据，工业设备运行过程中的物理、环境或者工作日志数据)进行实时监控，确保工业设备正常运行；

21、步骤3.2：固定一组初始物理配置(工业设备设定的的初始状态)和获取传感器读数的时间间隔，生成代表正常系统行为的数据轨迹，应用突变并生成它们产生的(可能的)异常轨迹，将从工业设备获取的数据用于模型学习工业设备工作过程中的不变量规则；(利用获取的数据，然后根据搭建的模型进行训练学习系统的不变量规则)

22、步骤3.3：基于工业设备传感器数据的轨迹，简单的由任何给定时间点的传感器值组成过于简单，基于时间序列数据的滑动窗口方法提取数据特征向量更为合理，从工业设备传感器实时传送的数据收集原始的正常和异常数据轨迹组织成的正、负特征向量，对异常数据进行欠采样以保持平衡，并使用cnn-lstm模型进行学习，构造工业互联网系统在某个状态条件下固定产生的行为状态规则，进而展开对工业设备异常行为监测预警服务。

23、所述步骤3.2中，所述不变量规则是工业设备在运行过程中“物理”或“化学”特性中的一个条件，每当系统处于给定状态时，必须满足该条件。

24、所述步骤3.3中，异常数据为对控制软件进行小的语法代码更改(即突变)后生成的轨迹，所述代码更改通过应用变异运算符实现，所述运算符随机替换一些布尔运算符、逻辑连接符、算术函数符号、常量或变量。

25、所述cnn-lstm模型利用cnn提取数据高维特征，然后利用lstm学习网络流量的时间特性。

26、所述cnn-lstm模型的操作具体包括以下几个步骤：

27、步骤1.cnn特征提取：将从工业设备获取的根据时间间隔生成的时序序列数据作为输入，因为它封装任何关于值在时间序列上如何演化的信息——物理模型的内在部分，而更有价值的特征向量将记录在固定时间间隔的值，从而可以学习关于工业设备物理状态如何随时间序列变化的模式，通过多层卷积层进行特征提取，卷积层提取输入数据的空间特征；在卷积层之后添加池化层，池化层在空间维度上进行降采样，以降低数据特征的维度，并保留重要的特征信息；

28、步骤2.特征融合：将池化后的特征图转换为一维向量，并输入到lstm层中，lstm利用卷积层提取的空间特征，并结合序列数据的时序信息进行建模，在lstm层中，设置多个lstm单元，以对时序信息进行建模，lstm捕捉到序列数据中的长期依赖关系，并学习到数据中的时序模式；

29、步骤3.输出层：lstm隐藏层输出向量作为注意力层的输入，注意力本质上就是求最后一层lstm输出向量的加权平均和，然后通过一个全连接层进行训练，再对全连接层的输出使用softmax函数进行归一化，得出每一个隐藏层向量的表示每个时间步的对于预测结果的重要程度的分配权重，再利用训练出的权重对隐藏层输出向量求加权平均和输出最终的预测结果；

30、步骤4.训练与调优：使用标注的数据对模型进行训练，并进行超参数调优，使用随机梯度下降(sgd)优化模型。

31、本发明的有益效果：

32、本发明搭建了基于本源行为的工业互联网设备危险监测工业互联网服务平台，并且将工业设备协同工作功能借助基于docker的工业互联网服务平台进行部署，实现了工业设备组网任务协同可信工作与交互通信。

33、网络通信协议使用了http以及socket协议进行通信，http协议使用其扩展的s-http安全协议进行传输，内置已经包含了加密和数字传输；socket协议通过ssl安全套接字进行通信传输，二者保证了协议层面的安全完整性，实现对工业设备状态的实时监控。

34、本发明通过cnn和lstm网络融合多级空间-时间特征的分类算法，提取和融合了传感器、设备以及环境等数据特征，并对分类器是否描述系统的不变性进行验证，融合特征具有更强的分离性和更高的分类精度。

35、本发明实现对工业互联网设备集群工业互联网服务平台的部署以及工业设备工作的危险预警监测。传统的云服务集群部署多采用的是虚拟机克隆，不能满足应用快速部署与灵活移植的需求；并且工业设备危险检测工具忽略了工业物联网环境复杂，模型的自适应能力比较差的情况，这就需要根据工业设备本源行为对工业设备进行监测，同时选择融合多个深度学习算法，使其尽可能学习工业互联网系统的不变量规则。

36、本发明提出了“云-网-端”模式的工业互联网设备控制架构，搭建了基于本源行为的工业互联网设备监测平台，实现了对工业设备工作状态的实时监测，基于采集的工业设备工作数据，采用卷积神经网络(cnn)从原始传感器数据中自动提取和学习特征，然后对其进行处理并输入到长短期记忆网络(lstm)中处理时间序列特征，提取和融合了传感器、设备以及环境等数据特征，自动构建工业设备不变量规则，以支持对工业设备异常监测。

37、本发明对工业互联网设备工作过程中偏离本源行为的判断可以有效地监测到网络攻击或者篡改控制代码等恶意行为，确保通信链路与工业设备的安全性。